MENU
Гаряча лінія з пошуку зниклих безвісти в Україні
Документування воєнних злочинів в Україні.
Глобальна ініціатива T4P (Трибунал для Путіна) була створена у відповідь на повномасштабну агресію Росії проти України у лютому 2022 року. Учасники ініціативи документують події, у яких є ознаки злочинів згідно з Римським статутом Міжнародного кримінального суду (геноцид, злочини проти людяності, воєнні злочини) в усіх регіонах України

Думка Європейського Комісара із захисту даних щодо Проекту Директиви Європейського Парламенту і Ради про затримування даних, що обробляються у зв’язку з наданням публічних електронних комунікаційних послуг і внесення змін до Директиви 2002/58/EC (COM(2005) 438 final)

09.03.2006   

Official Journal C 298, 29/11/2005 P. 0001- 0012

Інтернет-версія:

http://europa.eu.int/eur-lex/lex/LexUriServ/LexUriServ.do?uri= OJ:C:2005:298:0001:01:EN:HTML

КОМІСАР ІЗ ЗАХИСТУ ДАНИХ

Беручи до уваги Договір, що створює Європейську Спільноту, і, зокрема, його Статтю 286,

Беручи до уваги Хартію основоположних прав Європейського Союзу, і, зокрема, його Статтю 8,

Беручи до уваги Директиву 95/46/EC Європейського Парламенту і Ради від 24 жовтня 1995 року про захист осіб у зв’язку із обробленням персональних даних [1] і щодо вільного руху таких даних і Директиву 2002/58/EC Європейського Парламенту і Ради від 12 липня 2002 року з приводу оброблення персональних даних в секторі електронних комунікацій (Директива про приватність і електронні комунікації) [2],

Беручи до уваги Постанову (EС) № 45/2001 Європейського Парламенту і Ради від 18 грудня 2000 року про захист осіб у зв’язку із обробленням персональних даних установами і органами Спільноти щодо вільного руху таких даних [3], і, зокрема, її Статтю 41,

Беручи до уваги запит про Думку відповідно до Статті 28(2) Постанови (ЄС), № 45/2001, одержаний від Комісії 23 вересня 2005 року;

УХВАЛИВ НАСТУПНУ ДУМКУ:

І. Вступ

1. Європейський Комісар із захисту даних (далі – ЄКЗД) вітає той факт, що з ним консультуються на підставі Статті 28(2) Постанови (EС) № 45/2001. Проте, зважаючи на обов’язковий характер Статті 28(2) Постанови (ЕС) № 45/2001, ця Думка повинна бути згадана в преамбулі Директиви.

2. ЄКЗД визнає важливість для правоохоронних органів мати у своєму розпорядженні всі необхідні юридичні інструменти, зокрема, для боротьби із тероризмом та іншими серйозними злочинами. Адекватна доступність певних даних трафіку і місцезнаходження публічних електронних послуг може бути ключовим інструментом у діяльності цих правоохоронних органів і може сприяти фізичній безпеці людей. Крім того, слід зазначити, що це автоматично не передбачає необхідність нових інструментів, згаданих у цьому Проекті.

3. Рівною мірою очевидно, що цей Проект має значний вплив на захист персональних даних. Якщо лише розглядати Проект винятково з перспективи захисту даних, то дані трафіка і місцезнаходження не повинні взагалі затримуватися для правоохоронної цілі. Саме з причин захисту даних Директива 2002/58/EC встановлює як принцип права те, що дані трафіка повинні бути стерті відразу, як тільки їх зберігання більше не потріб­не для цілей, безпосередньо пов’язаних з комунікацією (в тому числі ціль складання рахунків). Винятки з цього принципу права підлягають жорстким умовам.

4. У цій Думці, ЄКЗД повинен висвітлити вплив Проекту на захист персональних даних. Крім того, ЄКЗД повинен взяти до уваги те, що не доведення важливості Проекту для правоохоронної діяльності матиме своїм наслідком позбавлення осіб їхнього основоположного права мати захист права на приватність.

5. Ця Думка ЄКЗД повинна розглядатися у світлі цих зауваг. ЄКЗД віддає перевагу збалансованому підходу, в якому необхідність і пропорційність втручання в захист даних відіграють центральну роль.

6. Щодо безпосередньо самого Проекту, він повинен розглядатися як реакція на ініціативу Французької Республіки, Ірландії, Королівства Швеція і Об’єдна­ного Королівства щодо Рамкового Рішення про затримуван­ня даних, що обробляються і зберігаються у зв’язку з наданням публічно доступних електронних комунікаційних послуг або даних публічних комунікаційних мереж з метою запобігання, розслідування, виявлення і переслідування злочинів і проступків, включаючи тероризм («Проект Рамкового Рішення»), яке було відхилене Євро­пей­ським Парламентом (під час консультаційної про­цедури).

7. ЄКЗД не надавав консультацій щодо Проекту Рамкового Рішення, ані не ухвалюючи Думку, ані з своєї власної ініціативи. ЄКЗД все ще не мав наміру надавати Думку про Проект Рамкового Рішення, але буде у цій Думці посилатися на Проект цього рішення, там, де він вважатиме це корисним.

II. Загальні спостереження

Вплив Проекту на захист персональних даних

8. Для ЄКЗД є суттєвим, щоб Проект дотримувався основоположних прав. Законодавчий захід, який би шкодив захисту, гарантованому правом Спільноти, а також, зокрема, прецедентним правом Суду Справедливості і Європейського суду з прав людини, є не тільки неприйнятним, але й незаконним. Обставини в суспільстві, можливо, змінилися внаслідок терористичних нападів, однак ці зміни не можуть мати наслідком те, щоб високі стандарти захисту в правовій державі були поставлені під загрозу. Захист надається згідно із законом незалежно від фактичних потреб правоохоронців. Більше того, якщо це необхідно в демократичному суспільстві, то прецедентне право безпосередньо дозволяє винятки.

9. Проект має прямий вплив на захист, наданий Статтею 8 Європейської конвенції про захист прав людини і основних свобод (далі – ЄКПЛ). Згідно із прецедентним правом Європейського суду з прав людини:

– зберігання інформації про особу розглядалося як втручання у приватне життя, хоча б вона не містила ніяких вразливих даних (Amann [4]).

– таке ж правило застосовується до практики «вимірювання» телефонних розмов, яке включає використання приладу, який автоматично реєструє набрані номери і час та тривалість кожної розмови (Malone [5]).

– обґрунтування втручання повинно переважити шкідливий вплив, який саме існування юридичних припи­сів з цього питання може мати для суб’єктів (Dudgeon [6]).

10. Стаття 6(2) Договору про ЄС передбачає, що Союз повинен поважати основоположні права, гаранто­вані ЄКПЛ. У попередньому параграфі було показано, що згідно із прецедентним правом Європейського суду з прав людини, зобов’язання затримувати дані входить у сферу Статті 8 ЄКПЛ і переконливе обґрунтування вимагає, щоб було дотримано критерій рішення Dudgeon. Повинно бути продемонстровано – повною мірою – необхідність і пропорційність зобов’язання затримувати дані.

11. Крім того, Проект має величезний вплив на прин­ципи захисту даних, визнані правом Спільноти:

– дані доведеться затримувати на період значно довший, аніж періоди, які звичайно використовувались для такого затримування постачальниками публічно доступних електронних комунікаційних послуг або публічною комунікаційною мережею (обидва види надалі згадуються як «постачальники»).

– згідно із Директивою 2002/58/EC, зокрема Статтею 6, дані можуть збиратися і зберігатися тільки з причин, безпосередньо пов’язаних з самою комунікацією, включаючи, зокрема, ціль складання рахунків [7]. Згодом, дані повинні бути стерті (за деякими винятками). Згідно із цим Проектом, затримування з метою застосу­вання кримінального права є обов’язковим. Таким чином вихідна точка є цілком протилежною;

– Директива 2002/58/EC гарантує безпеку і конфіденційність. Цей Проект не може призвести до лазівок у цій сфері; потрібні строгі гарантії безпеки, а обме­ження мети слід висвітлити;

– запровадження зобов’язання затримувати дані, як це передбачається Проектом, матиме своїм наслідком створення значних баз даних і несе особливі ризики для суб’єкта даних. Хтось може подумати про комерційне використання цих даних, так само як і використання даних для «рибалки даних» (fishing operations) і/або видобуток/відбір даних з боку правоохоронних органів або служб державної безпеки.

12. І нарешті, як захист приватного життя, так і захист персональних даних визнаються в Хартії про основоположні права, як це було згадано в Пояснювальному Меморандумі.

13. Вплив Проекту на захист персональних даних потребує повного аналізу. У цьому аналізі ЄКЗД врахує викладені вище елементи і зробить висновок про те, чи потрібна більшість заходів. Простого посилання на чинну правову основу про захист даних (зокрема, директиви 95/46/EC і 2002/58/EC) не достатньо.

Необхідність затримування даних трафіку
і місце знаходження

14. ЄКЗД нагадує висновок Робочої групи із захисту даних від 9 листопада 2004 року щодо Статті 29 Проекту Рамкового Рішення. Робоча група стверджувала, що обов’язкове затримування даних трафіка, згідно із умовами, передбаченими у Проекті Рамкового Рішення, є неприйнятним. Цей висновок, окрім іншого, заснований на неможливості надати будь-який доказ щодо необхідності затримування в цілях суспільного порядку, було зроблено завдяки результатам дослідження, які показали, що найбільша кількість даних трафіка не старша шести місяців.

15. На думку ЄКЗД, зауваги Робочої групи із захисту даних щодо Статті 29, згадані вище, повинні бути вихідним пунктом для оцінки цього Проекту. Проте, результат цих зауваг не можна механічно перенести на цей Проект. Слід взяти до уваги, що обставини можуть змінюватися. На думку ЄКЗД, для оцінки можуть бути доречними такі обставини.

16. По-перше, було запропоновано деякі ілюстрації для того, щоб продемонструвати, що на практиці правоохоронцям потрібні дані трафіка аж до одного року. Комісія так само як і Президія Ради відзначили важливість дослідження поліції Об’єднаного Королівства [8], яке свідчить, що, хоча 85 % даних трафіка, потрібних поліції, зібрали менше, ніж за шість місяців, однак дані від шести місяців до року використовувалися у складних розслідуваннях серйозніших злочинів. Також були представлені деякі приклади справ. Період затримування в Проекті – один рік для телефонних даних – відображає ці методи правоохоронців.

17. ЄКЗД не переконаний, що ці ілюстрації надають докази необхідності затримування даних трафіка аж до одного року. Той факт, що в деяких випадках доступність даних трафіка і/або місцезнаходження допомогла розкрити злочини, не означає автоматично, що ці дані потрібні (взагалі) як інструмент для правоохоронців. Проте, цими ілюстраціями не можна нехтувати. Вони представляють, принаймні, серйозну спробу продемонструвати потребу затримування. Окрім того, ілюстрації прозоро вказують на те, що період затримування більше, ніж один рік, не потрібен з перспективи поточних методів правоохоронної діяльності.

18. По-друге, чинні можливості постачальників, згідно із Директивою 2002/58/EC, затримувати дані трафіка для цілей складання рахунків не завжди використовуються, оскільки у низці випадків, число яких зростає, затримування даних з метою складання рахунків взагалі не має місця (наперед оплачені картки мобільного зв’язку, передплата за єдиною ставкою тощо). У цих випадках – які на практиці зустрічаються все частіше – дані трафіку і місцезнаходження не зберігатимуться взагалі, а будуть видалені відразу після комунікації. Те ж саме стосується невдалих викликів. Це може впливати на ефективність правоохоронної діяльності.

19. Окрім того, такий розвиток телекомунікаційних послуг може призвести до порушень у функціонуванні внутрішнього ринку, серед іншого, завдяки прийняттю (загрозі прийняття) законодавчих заходів в державах-членах згідно із Статтею 15 Директиви 2002/58/EC. Наприклад, італійський уряд нещодавно видав декрет, який зобов’язує постачальників зберігати телефонні дані протягом чотирьох років. Це зобов’язання приводитиме до значних витрат в певних державах-членах, наприклад, у Італії.

20. По-третє, робочі методи правоохоронних органів також зазнали поступу: розслідування із випередженням і використання технічної підтримки стали важливішими. Ці обставини вимагають, щоб органи влади розпоряд­жалися адекватно і точно сформульованими інструмен­тами для того, щоб дозволити їм виконувати свою роботу з належним ставленням до принципів захисту даних. Один із таких інструментів, яким органи влади держав-членів звично розпоряджаються – це консервація даних, або заморожування комунікаційних даних на запит у конкретному розслідуванні. Стверджувалося, що цього інструмента, який сам по собі має менший вплив на ці принципи, аніж інструмент, який зараз пропонується (затримування даних), може не завжди бути достатньо, зокрема, він не дозволяє відслідковувати осіб, причетних до тероризму або іншого серйозного злочину, які раніше не підозрювалися в будь-якій злочинній діяльності. Проте, для того, щоб визначити, чи насправді такий випадок має місце, потрібно більше доказів.

21. По-четверте, занепокоєння терористичними нападами зростає. ЄКЗД поділяє погляд, виражений у контексті пропозицій про затримання даних, що фізич­на безпека має, сама собою, першорядну важливість. Суспільство потребує захисту. Для цього уряди зобо­в’я­зані, у разі нападів на суспільство, продемонструвати, що вони приділяють значну увагу цій потребі в захисті і провести дослідження, а якщо їм доведеться реагувати, то й запровадити нові законодавчі заходи. Йдеться, безсумнівно, про те, що ЄКЗД повністю підтримує завдання урядів – як на національному, так і на європейському рівні – захистити суспільство і продемонструвати, що вони роблять все, що потрібно для того, щоб запропонувати захист, в тому числі через прийняття нових, законних і ефективних заходів внаслідок досліджень.

22. ЄКЗД визнає зміни обставин, але поки що не переконаний у необхідності затримування даних трафіку і місцезнаходження в правоохоронних цілях, як це стверджується у Проекті. Він наголошує на важливості принципу права, встановленого Директивою 2002/58/EC, який вказує, що дані трафіка повинні бути стерті відразу, як тільки їхнє зберігання не потрібне більше для цілей, які безпосередньо пов’язані з комунікацією. До того ж, надані ілюстрації не доводять ані те, що чинна правова структура не пропонує інструментів, потрібних для захисту фізичної безпеки, ані те, що держави-члени пов­ністю застосовують свою компетенцію згідно із європейським правом, щодо співпраці, наданої їм у межах чинної правової структури (однак без результатів, які потрібні).

23. Проте, якщо Європейський Парламент і Рада – після обережного зважування інтересів – зроблять висновок, що необхідність затримування даних трафіку і місцезнаходження продемонстрована достатньою мірою, ЄКЗД притримуватиметься точки зору, за якою затримування може бути виправдане згідно із правом Спільноти тільки тією мірою, якою дотримується принцип пропорційності і гарантовані адекватні заходи безпеки у відповідності до цієї Думки.

Пропорційність

24. Пропорційність запропонованого нового законо­давчого заходу безпосередньо залежить від сутності положень, які він охоплює: чи охоплює він адекватну і пропорційну відповідь на потреби суспільства?

25. Перша заувага зачіпає адекватність пропозиції: чи можна очікувати, що Проект збільшить фізичну безпеку мешканців Європейського Союзу? Одна з причин сумніватися в цій адекватності, часто згадувана в пуб­лічних дебатах, – це те, що дані трафіка та місцезнаход­ження не завжди пов’язуються із конкретною особою, таким чином, знання про телефонний номер (або IP-адресу) не обов’язково виявляє ідентичність особи. Інша, і навіть більш серйозна причина для сумніву полягає в тому, чи існування величезних баз даних надає можливість правоохоронцям полегшити пошук, який їм потрібно провести у конкретній справі.

26. ЄКЗД вважає, що затримування даних трафіка і місцезнаходження за своєю природою не є адекватною чи ефективною відповіддю. Потрібні додаткові заходи для того, щоб гарантувати, що органи влади мають ціль і швидкий доступ до даних, потрібних у певній справі. Затримування даних є адекватним і ефективним тільки в тому разі, коли існує ефективний механізм пошуку.

27. Друга заувага стосується пропорційної природи відповіді. Для того, щоб бути пропорційним, Проект повинен:

– обмежувати періоди затримування. Ці періоди повинні відображати продемонстровані потреби правоохоронної діяльності,

– обмежувати кількість даних, що зберігаються. Ця кількість повинна відображати продемонстровані потреби правоохоронної діяльності, і слід гарантувати, що доступ до змісту є неможливим.

– містити адекватні заходи безпеки, так щоб обмежити доступ і подальше використання, гарантувати безпеку даних і забезпечити, що самі суб’єкти даних могли використати свої права.

28. ЄКЗД наголошує на важливості цих суворих обмежень з адекватними заходами безпеки, зважаючи на обмежений доступ. Він вважає, що у перспективі важливості трьох елементів, згаданих у викладеному вище пункті, держави-члени можуть – що стосується цих трьох елементів – не вживати додаткових заходів на національному рівні, які ставлять під сумнів пропор­ційність. Ця потреба в гармонізації буде детальніше висвітлена у IV розділі.

Адекватні заходи безпеки

29. Наслідком Проекту буде те, що постачальники розпоряджатимуться базами даних, у яких буде зберігатися значна кількість даних трафіка і місцезнаходження.

30. По-перше, Проект має гарантувати, що доступ до даних і подальше їх використання буде обмеженим: тільки згідно із спеціально вказаними обставинами і для обмеженого переліку спеціально вказаних цілей.

31. По-друге, бази даних доведеться адекватно захищати (безпека даних). Для досягнення цього впливу, повинно бути гарантовано, що після закінчення періодів затримування дані будуть ефективно видалені. Не повинно бути ніякого «зливу даних» або експлуатації даних. Коротше кажучи, вимагається високий рівень безпеки даних і адекватні технічні і організаційні заходи безпеки.

32. Високий рівень безпеки даних є навіть важливішим, оскільки просте існування даних може призвести до запитів на доступ і користування ними як мінімум трьох груп користувачів:

– самі постачальники. Вони можуть спокуситися використати дані для своїх власних комерційних цілей. Необхідні гарантії для запобігання копіювання цих файлів,

– органи влади відповідальні за правоохоронну діяльність: Проект пропонує їм право мати доступ, але тільки у спеціально визначених випадках і згідно із національним законодавством (Стаття 3(2) Проекту). Не повинно бути доступу для цілей «копання» в даних чи їхнього «виловлювання». Обмін даних з органами влади в інших державах-членах має бути прозоро врегульовано,

– розвідувальні служби (які уповноважені гарантувати національну безпеку).

33. Щодо доступу розвідувальних служб ЄКЗД відзначає, що згідно із Статтею 33 Договору про Європейський Союз і Статті 64 Договору про Європейську Спіль­ноту втручання в межах Третьої опори і Першої опори не повинно впливати на здійснення повноважень, дору­чених державами-членами щодо підтримки правопорядку і гарантування національної безпеки. На думку ЄКЗД, наслідком цих положень є брак компетенції Європейського Союзу керувати доступом сил безпеки або розвідувальних служб до даних, затримуваних постачальниками. Іншими словами, ані доступ цих служб до даних трафіку і місцезнаходження, що знаходяться у постачальників, ані подальше використання інформації, набутої цими службами, не регулюється правом Європейського Союзу. Це той елемент, який слід враховувати при оцінці Проекту. Саме держави-члени повинні вжити необхідних заходів для того, щоб врегулювати доступ розвідувальних служб.

34. По-третє, наслідки, описані в попередніх параграфах, мають потенційний вплив на суб’єкта даних. Додаткові заходи безпеки є потрібними для того, щоб гарантувати, що він, як суб’єкт даних, може просто і швидко скористатися своїми правами. ЄКЗД указує на потребу ефективного контролю щодо доступу і подаль­шого користування, бажано з боку судових органів держав-членів. Ці заходи безпеки повинні також застосовуватися у випадку доступу і подальшого користуван­ня даними трафіку з боку органів влади в інших державах-членах.

35. У цьому контексті ЄКЗД посилається на ініціативи нової правової структури щодо захисту даних, застосовної до правоохоронної діяльності (у Третій опорі Договору про Європейський Союз). На його думку, така правова структура вимагає додаткових заходів безпеки і не може обмежуватися лише повторним підтвердженням загальних принципів захисту даних у Першій опорі [9].

36. По-четверте, існує пряма залежність між адекват­ністю заходів безпеки і витратами на ці заходи. Саме тому адекватний закон про затримування даних повинен містити стимули для постачальників інвестувати у технічну інфраструктуру. Такий стимул міг би полягати у тому, що постачальникам компенсуються додаткові витрати на адекватні заходи безпеки.

37. Підсумовуючи, адекватні заходи безпеки повинні:

– обмежити доступ до даних і їхнє подальше використання,

– надати адекватні технічні і організаційні заходи безпеки для захисту баз даних. Це включає в себе адекватне видалення даних в кінці періоду затримування і визнання запитів на доступ і користування різними групами клієнтів;

– гарантувати користування правами суб’єктів даних, а не тільки підтвердити загальні принципи захисту даних;

– містити стимули постачальникам інвестувати в технічну інфраструктуру.

III. Правова основа і Проект Рамкового Рішення

38. Проект, заснований на Договорі про Європейську Спільноту, зокрема Статті 95, а цілі, згідно із Статтею 1 Проекту, передбачають гармонізацію зобов’язань постачальників щодо оброблення і затримування даних трафіку і місцезнаходження. Стверджується, що ці дані повинні надаватися тільки уповноваженим національним органам влади в окремих справах, пов’язаних із кримінальними правопорушеннями, але потребує врегулювання, точніше, визначення мети так само, як і доступ і подальше використання даних за розсудом держав-членів, що підлягають заходам безпеки чинної у Спільноті структури захисту даних.

39. У цьому відношенні Проект більш обмежений, аніж Проект Рамкового Рішення, який базується на Статті 31(1)(c) Договору про Європейський Союз і містить додаткові положення про доступ до затримуваних даних, так само, як і про запити на доступ від інших держав-членів. Пояснювальний меморандум обґрунтовує таке обмеження сфери Проекту. Він стверджує, що доступ до інформації і обмін нею між відповідними правоохоронними агенціями є питанням, яке виходить за межі сфери дії Договору про Європейський Союз.

40. ЄКЗД не переконало це твердження Пояснювального меморандуму. Втручання Спільноти на підстави Статті 95 Договору про Європейську Спільноту (внутріш­ній ринок) мало усунути бар’єри торгівлі як його головний об’єкт. Згідно із прецедентним правом Суду Справедливості, таке втручання повинно бути насправді необхідним для сприяння усуненню такого бар’єру. Проте, у своєму втручанні законодавець Спільноти повинен гарантувати повагу основоположних прав (Стат­тя 6(2) Договору про Європейський Союз; див. Розділ 2 цієї Думки). Незважаючи на все це, встановлення на рівні Спільноти норм щодо затримування даних в інтересах внутрішнього ринку може вимагати, щоб про дотримання основоположних прав йшлося на рівні Європейської Спільноти. Якщо законодавець Спільноти не може встановити норми про доступ і використання даних, він не може виконати свої зобов’язання за статтею 6 Договору про Європейський Союз, оскільки остан­ні норми необхідні для того, щоб гарантувати, що дані затримуються з належним дотриманням основополож­них прав. Іншими словами, на думку ЄКЗД, норми про доступ, використання і обмін даними є невіддільними від самого обов’язку затримування даних.

41. Щодо встановлення уповноважених органів ЄКЗД визнає, що це відповідальність держав-членів. Подібним чином це стосується організації правоохоронної системи і судового захисту. Проте, акт Спільноти може встановити положення для держав-членів щодо призначення уповноважених органів, судового контролю або доступу громадян до правосуддя. Ці умови гарантують, що відповідні механізми існують на національному рівні для того, щоб гарантувати повну дієвість акту, включаючи дотримання повною мірою законодавства про захист даних.

42. ЄКЗД звертає увагу на інший пункт, пов’язаний з юридичною основою. Справа саме законодавчого органу Спільноти вибрати адекватну юридичну основу і, відповідно, адекватну законодавчу процедуру. Цей вибір виходить за межі повноважень ЄКЗД. Проте, у світлі важливих основоположних проблем, ЄКЗД віддає в теперішній ситуації значну перевагу процедурі спільного ухвалення рішень. Тільки ця процедура встановлює прозорий процес ухвалення рішень за повної участі трьох причетних установ і з належним дотриманням принципів, на яких засновано Союз.

IV. Потреба у гармонізації

43. Проект директиви гармонізує типи даних, які мають бути затримані, періоди часу, протягом якого дані слід затримувати, так само як і цілі, для яких дані можуть надаватися належним органам. Проект передбачає повну гармонізацію цих елементів. У цьому відно­шенні він має істотно іншу природу, аніж Проект Рамкового Рішення, який передбачав мінімальні норми.

44. ЄКЗД підкреслює потребу повної гармонізації цих елементів, зважаючи на функціонування внутрішнього ринку, потреби правоохоронної діяльності і – останнє за порядком, але не за значенням – ЄКПЛ і принципи захисту даних.

45. Щодо функціонування внутрішнього ринку, гар­монізація зобов’язань затримувати дані виправдовує вибір юридичної основи Проекту (Стаття 95 Договору про Європейську Спільноту). Дозволяючи суттєві відмін­ності між законами держав-членів не можна усунути існуючі розлади на внутрішньому ринку електронних комунікацій, які, серед іншого, мають місце завдяки прийняттю (або загрозі прийняття) законодавчих заходів в державах-членах згідно із Статтею 15 Директиви 2002/58/EC (див. пункт 19 цієї Думки).

46. Це є навіть важливіше, оскільки значна кількість електронних комунікацій стосується юрисдикції більше однієї держави-члена. Серед ілюстративних прикладів можна назвати: телефонні дзвінки за кордон, роумінг, перетин кордонів під час мобільного зв’язку і використання постачальника з держави-члена, іншої, аніж країна проживання особи.

47. Окрім того, в цьому контексті брак гармонізації шкодив би потребам правоохоронної діяльності, оскільки належним органам доведеться підкорятися неоднаковим юридичним вимогам. Це може перешкодити обміну інформацією між органами влади держав-членів.

48. Врешті решт, ЄКЗД наголошує – з посиланням на свої повноваження згідно із Статтею 41 Постанови (EC) № 45/2001 – що повна гармонізація головних елементів, включених до Проекту, є необхідною для того, щоб підкорятися ЄКПЛ і принципам захисту даних. Будь-яка законодавча міра, яка зобов’язує затримувати дані трафіку і місцезнаходження має чітко обмежувати кількість даних, які затримуються, періоди затримування і (цілі, з якими здійснюється) доступ, а також подальше використання даних для того, щоб бути прийнят­ним з перспективи захисту даних та для того, щоб виконати вимоги необхідності і пропорційності.

V. Коментарі до статей Проекту

Стаття 3: Зобов’язання затримувати дані

49. Стаття 3 – ключове положення Проекту. Стаття 3(1) запроваджує зобов’язання затримувати дані трафіка і місцезнаходження, тоді як Стаття 3(2) надає чинності принципу обмеження мети. Стаття 3(2) викладає три важливих обмеження. Затримування даних повинно здійснюватися тільки:

– уповноваженими національними органами;

– у спеціально визначених випадках;

– з метою запобігання, розслідування, виявлення і судового переслідування серйозних кримінальних злочинів, наприклад, таких, як тероризм і організована зло­чинність.

Стаття 3(2) посилається на національне законодавство держав-членів за визначенням подальших обмежень.

50. ЄКЗД вітає Статтю 3(2) як важливе положення, однак вважає, що ці обмеження не є достатньо точними, що доступ і подальше використання повинно бути врегульоване згідно із Директивою, а також, що потрібні додаткові заходи безпеки. Як було сказано в Розділі III цієї Думки, ЄКЗД не переконаний, що не включення (точних) умов про доступ і подальше використання даних трафіку і місцезнаходження – неминучий наслідок юридичної основи Проекту (Стаття 95 Договору про Європейську Спільноту). Це потягнуло за собою наступні коментарі.

51. По-перше: не вказано, що інші зацікавлені сторони, подібно до самих постачальників, не мають доступу до даних. За Статтею 6 Директиви 2002/58/EC постачальники можуть тільки обробляти дані трафіка до закінчення періоду на який дані затримуються з метою складання рахунків. На думку ЄКЗД, немає жодного виправдання на доступ постачальниками або іншими зацікавленими сторонами, окрім випадку доступу, передбаченого Директивою 2002/58/EC і на умовах цієї директиви.

52. ЄКЗД рекомендує додати в текст припис з тим, щоб гарантувати, що крім уповноважених органів жод­на особа не матиме доступу до даних. Цей припис може бути сформульованим наступним чином: «дані можуть бути доступними і/або оброблятися тільки з метою, згаданою в Статті 3(2)» або «постачальники повинні ефективно гарантувати те, що доступ надається лише уповноваженим органам».

53. По-друге: обмеження спеціально визначеними випадками, як видається, забороняє звичний доступ до «рибалки даних» («fishing operations») або до видобутку/відбору даних. Проте, текст Проекту повинен спеціально визначити, що дані можуть надаватися тільки в разі, коли це необхідно у зв’язку із певним злочином.

54. По-третє: ЄКЗД вітає той факт, що мета доступу обмежена серйозними злочинами, такими як тероризм і організована злочинність. У інших менш серйозних випадках, доступ до даних трафіку і місцезнаходження не завжди буде пропорційний. Проте, ЄКЗД виражає сумніви, чи цього обмеження цілком досить, особливо, коли йтиметься про надання доступу щодо серйозних злочинів, окрім тероризму і організованої злочинності. Практика держав-членів відрізняється. ЄКЗД наголошує в розділі IV цієї Думки на потребі повної гармонізації головних елементів, включених до Проекту. Саме тому ЄКЗД рекомендує обмежити приписи певними серйозними злочинами.

55. По-четверте: всупереч проекту Рамкового Рішен­ня, Проект не містить припису про доступ. З точки зору ЄКЗД, доступ до даних і їх подальше використанням не повинно бути проігнорованим у Директиві. Вони складають невіддільну частину змісту (див. Розділ III цієї Думки).

56. ЄКЗД рекомендує доповнити Проект однією або кількома статтями про доступ до даних трафіку і місцезнаходження уповноважених органів і про подальше використання даних. Мета цих статей – гарантувати, що дані використовуються тільки для цілей, згаданих у Статті 3(2), що органи влади гарантують якість, конфіденційність і безпеку даних, які вони одержали і що дані будуть стерті, коли вони не будуть більше потрібні для запобігання, розслідування, виявлення і судового переслідування певного злочину. Окрім того, слід вказати, що доступ у певних справах повинен перебувати під судовим контролем держав-членів.

57. По-п’яте: Проект не містить додаткових заходів безпеки для захисту даних. У преамбулі просто посилаються на заходи безпеки в чинному законодавстві, перш за все Директиву 95/46/EC і Директиву 2002/58/EC. ЄКЗД не погоджується із цим обмеженим підходом до захисту даних, незважаючи на особливу важливість (додаткових) заходів безпеки (див. Розділ II цієї Думки).

58. Саме тому ЄКЗД рекомендує включити параграф про захист даних. У цей параграф можуть бути вставлені попередні рекомендації з приводу Статті 3(2), так само як і інші приписи про захист прав даних, на кшталт приписів, пов’язаних з користуванням суб’єк­том даних своїх прав, про захист даних (див. Розділ II цієї Думки), щодо якості даних і безпеки даних, а також щодо даних трафіку та місцезнаходження, які не стосуються злочину.

Стаття 4: Затримувані категорії даних

59. Загалом, ЄКЗД вітає статтю і Додаток, оскільки:

– вибрано законодавчу техніку з функціональним описом в тілі директивних приписів і технічними деталями у додатку. Це достатньо гнучко для того, щоб адек­ватно відповісти на технологічні події і це надає громадянам правової певності;

– відмінність між даними телекомунікації і Інтернет-даними, не зважаючи на те, що відмінність стає технологічно менш важливою. Однак, з перспективи захисту даних ця відмінність є важливою, оскільки в Інтернеті межа між змістом даних і даними трафіка не є чіткою (див., наприклад, визнання в Статті 1(2) Директиви що інформація, отримана з Інтернету, – це дані змісту);

– рівень гармонізації: Проект передбачає високий рівень гармонізації з вичерпним списком категорій даних, які мають бути затримані (на відміну від проекту Рамкового Рішення, який містив список-мінімум, з широ­ким повноваженням держав-членів додавати дані). З перспективи захисту даних повна гармонізація є суттєвим (див. Розділ IV).

60. ЄКЗД рекомендує наступні зміни:

– Стаття 4, другий параграф, повинен містити реальніші критерії для того, щоб гарантувати, що дані змісту не включаються. Слід додати наступне речення: «Додаток не може включати дані, які показують зміст комунікації»

– Стаття 5 відкриває можливість для перегляду Додатку директивою Комісії («comitology»). ЄКЗД радить, що перегляд Додатку з суттєвим впливом на захист даних повинен переважно здійснюватися за допомогою Директиви відповідно до процедури спільного ухвалення рішень [10].

Стаття 7: Періоди затримування

61. ЄКЗД вітає той факт, що періоди затримування у Проекті значно коротші, аніж періоди, що передбачалися у проекті Рамкового рішення:

– Нагадуючи про сумніви, виражені у цій Думці, про доказ необхідності затримування даних трафіку аж до одного року, період тривалістю один рік відображає методи правоохоронної діяльності, як це було показано за допомогою прикладів-ілюстрацій, наданих Комісії Президії Ради.

– Ці ілюстрації показують також те, що, виключаючи виняткові випадки, затримування даних протягом довших періодів не відображають практику правоохоронної діяльності.

– Коротший період в шість місяців для даних, по­в’язаних з електронними комунікаціями, що мають місце з винятковим або переважним використанням Інтернет-протоколу, є важливим з перспективи захисту даних, оскільки затримування Інтернет-комунікацій призводить до об’ємних баз даних (ці дані звично не затримуються для цілі складання рахунків), межа з даними змісту є невизначеною, а затримування довше, ніж шість місяців, не відображає практики правоохоронців.

62. Потрібно прояснити у тексті, що:

– період затримування – 6 місяців, відповідно один рік – максимальний період затримування;

– дані видаляються після закінчення періоду затримування. Текст повинен також прояснити, як ці дані потрібно видалити. На думку ЄКЗД постачальнику доведеться видаляти дані автоматизованими засобами, як мінімум з дня в день.

Стаття 8: Вимоги до зберігання
затримуваних даних

63. Ця стаття близько пов’язана зі Статтею 3(2) і містить важливе положення, яке може гарантувати, що доступ у спеціально визначених випадках може бути обмежений даними, які особливо потрібні. Статті 8 і 3(2) припускають, що необхідні дані передаються постачальниками органам влади і що останні не мають прямого доступу до баз даних. ЄКЗД рекомендує закріпити цю презумпцію безпосередньо в тексті.

64. Положення повинно бути деталізовано, вказуючи що:

– необхідні дані передаються постачальниками органам влади (див. пункт 63).

– постачальники повинні встановити необхідні технічні пристрої, зокрема, системи пошуку для того, щоб полегшити цілеспрямований доступ до спеціально визначених даних.

– Постачальники повинні гарантувати, що тільки члени їхнього персоналу з відповідними технічними повноваженнями мають доступ до баз даних з технічних причин, і що ті члени персоналу обізнані із вразливою природою даних і працюють згідно із суворими внутрішніми правилами конфіденційності.

– Передача даних повинна не тільки мати місце без невчасної затримки, але і без показу інших даних трафіку і місцезнаходження, аніж ті, які були потрібні для цілей запиту.

Стаття 9: Статистика

65. Обов’язок постачальників подавати щорічно статистику допомагає установам Спільноти контролювати ефективність впровадження і застосування цього Проекту. Потрібна адекватна інформація.

66. На думку ЄКЗД, це зобов’язання приводить в дію принцип прозорості. Європейський громадянин має право знати, наскільки ефективним є затримування даних. Для цього постачальника потрібно додатково зобов’язати зберігати реєстраційні журнали і систематично виконувати роль (само)ревізії, для того, щоб надати можливість національним органам із захисту даних контролювати застосування норм про захист даних на практиці [11]. Проект має бути змінений у цьому сенсі.

Стаття 10: Витрати

67. Як це було сказано в Розділі II, існує пряма залежність між адекватністю заходів безпеки і витратами на ці заходи, або, іншими словами, між безпекою і витратами. Саме тому ЄКЗД бере до уваги Статтю 10 – вона передбачає компенсацію пред’явлених додаткових витрат – як важливе положення, яке могло б послужити стимулом для постачальників інвестувати в технічну інфраструктуру.

68. Згідно із оцінками, поданими в «Оцінці впливу», переданою Комісією до ЄКЗД, витрати на затримування даних значні. Для великої мережі і постачальника послуг витрати становлять більше ніж 150 мільйонів євро, а протягом 12-місячного періоду затримування з річними експлуатаційними витратами – близько 50 мільйонів євро [12]. Немає, однак, ані жодних цифр про витрати на заходи додаткової безпеки, як, наприклад, дорогі пошукові системи (див. коментар до Статті 6), ані про (приблизно) фінансові наслідки повної компенсації додаткових витрат постачальників.

69. На думку ЄКЗД, точніші цифри потрібні для того, щоб бути здатним оцінити Проект в його повному обсязі. Він пропонує висвітлити фінансові наслідки Проекту в Пояснювальному меморандумі.

70. Щодо безпосередньо положення Статті 10, залежність між адекватністю заходів безпеки і витратами слід прояснити у тексті припису. Окрім того, Проект повинен передбачати мінімальні стандарти для заходів безпеки, вжитих постачальниками, для того, щоб претендувати на відшкодування з боку держави-члена. На думку ЄКЗД, визначення цих стандартів не можна повністю покласти на держави-члени. Це може поставити під сумнів рівень гармонізації, запровадженої Директивою. До того ж, потрібно взяти до уваги, що держави-члени несуть фінансові наслідки компенсації.

Стаття 11: Поправка до Директиви 2002/58/EC

71. Слід висвітлити відношення до Статті 15(1) Директиви 2002/58/EC, оскільки цей Проект позбавляє це положення більшості його змісту. Посилання в Статті 15(1) Директиви 2002/58/EC на Статтю 6 і Статтю 9 (цієї ж Директиви) потрібно видалити, або, як мінімум, змінити таким чином, щоб прояснити, що держави-члени більше не мають компетенції приймати законодавство відносно злочинів, доповнюючи цей Проект. Будь-яка неоднозначність щодо залишків їхньої компетенції, – наприклад, щодо затримування даних для цілей «не серйозних» злочинів – повинна бути усунена.

Стаття 12: Оцінка

72. ЄКЗД вітає, що Проект містить статтю про оціню­вання Директиви, протягом трьох років після набуття нею чинності. Оцінка є дуже важливою з огляду на сумніви про потрібність Проекту і його пропорційність.

73. У цій перспективі ЄКЗД радить передбачити дуже суворе зобов’язання, який містить наступні елементи:

– Оцінювання повинно охоплювати оцінку ефектив­ності виконання Директиви з перспективи правоохоронної діяльності, так само як і оцінку впливу на основні права суб’єкта даних. Комісія повинна включати будь-які докази, які можуть вплинути на оцінювання.

– Оцінювання повинно проходити регулярно (як мінімум, кожні 2 роки).

– Комісію слід зобов’язати представити зміни до Проекту там, де необхідно (як в Статті 18 Директиви 2002/58/EC).

VI. Висновки

Попередні умови

74. Для ЄКЗД має велике значення, щоб Проект дотримувався основоположних прав. Законодавчий захід, який би завдавав шкоди захисту, гарантованому правом Спільноти і особливо прецедентним правом Суду Справедливості і Європейського суду з прав людини, є не тільки неприйнятним, але і незаконним.

75. Необхідність і пропорційність зобов’язання затримувати дані – повною мірою – мають бути продемонстровані.

76. Щодо необхідності: ЄКЗД визнає зміни обставин, але поки що не переконаний у необхідності затримуван­ня даних трафіку і місцезнаходження в цілях правоохоронної діяльності, як це встановлено у Проекті.

77. Тим не менше ЄКЗД представляє у цій Думці свій погляд на пропорційність Проекту. Це означає, в першу чергу, що затримування даних трафіку і місцезнаходження не є адекватною або ефективною відповіддю. Потрібні додаткові заходи, щоб гарантувати, що органи влади мають цілеспрямований і швидкий доступ до даних, потрібних в певному випадку. У другому місці, Проект повинен:

– обмежувати періоди затримування. Періоди повинні відображати потреби правоохоронної діяльності;

– обмежувати кількість даних, які затримуються. Цей номер повинен відображати потреби правоохоронної діяльності і гарантувати, що доступ до змістовних даних є неможливим;

– містити адекватні заходи безпеки.

Загальна оцінка

78. ЄКЗД підкреслює важливість того факту, що цей текст Проекту передбачає повну гармонізацію голов­них елементів Проекту, зокрема, види даних, які затримуються, періоди часу, протягом якого дані потрібно затримати, так само як і (цілі) доступу і подальше використання даних.

79. По деяких пунктах потрібно подальше роз’яс­нен­ня, наприклад, щоб гарантувати адекватне видалення даних після закінчення періоду затримування і щоб ефективно запобігти доступу і використанню різними групами хранителів.

80. ЄКЗД розглядає наступні пункти, суттєві для того, щоб Проект був прийнятним з перспективи захисту даних:

– додавання до Проекту спеціальних положень про доступ до даних трафіка і місцезнаходження уповноважених органів влади і про подальше використання даних, як суттєвої і невіддільної частини змісту.

– додавання до Проекту подальших додаткових заходів безпеки для захисту (на відміну від простого посиланню на заходи безпеки в чинному законодавстві, зокрема Директива 95/46/EC і Директива 2002/58/EC), між іншим, щоб гарантувати дотримання прав суб’єкта даних.

– додавання до Проекту подальших стимулів постачальникам інвестувати в адекватну технічну інфраструктуру, зокрема, фінансові стимули. Ця інфраструктура може бути настільки адекватною, наскільки існують ефективні пошукові системи.

Рекомендації для модифікацій Проекту

81. Щодо Статті 3(2):

– додавання положення для того, щоб гарантувати, що окрім уповноважених органів жодна особа не матиме доступу до даних. Це положення могло б бути сфор­мульоване таким чином: «дані, можуть бути доступними і/або оброблятися з метою, згаданою в Статті 3(2)» або «постачальники повинні ефективно гарантувати, що доступ надаватиметься тільки уповноваженим органам»:

– деталізація того, які лише дані можуть надаватися, якщо це потрібно відносно певного злочину;

– обмеження положень щодо певних серйозних злочинів;

– додавання до Проекту однієї чи більше статей доступу до даних трафіку і місцезнаходження уповноваженими органами влади і про подальше використання даних, так само як і положення про те, що доступ в певних випадках повинен здійснюватися під судовим контролем в державах-членах;

– включення параграфа про захист даних.

82. Щодо Статей 4 і 5:

– додавання до Статті 4 другого параграфу наступного змісту: «Додаток не може включати дані, які показують зміст комунікації»

– деталізація того, що перегляди Додатку з реальним впливом на захист даних повинні переважно проводитися за допомогою Директиви відповідно до процедури ухвалення спільних рішень.

83. Щодо Статті 7, деталізація тексту про те, що:

– періоди затримування строком 6 місяців і один рік є максимальними періодами затримування,

– дані видаляються після закінчення періоду затри­мування. Текст повинен також прояснити, як ці дані потрібно видаляти, а саме постачальником автоматизованих засобів, як мінімум день за днем.

84. Щодо Статті 8, деталізація тексту про те, що:

– необхідні дані передаються постачальниками органам влади;

– постачальники повинні встановити необхідну технічну архітектуру, зокрема, пошукові системи, щоб полегшити цілеспрямований доступ до вказаних даних;

– постачальники повинні гарантувати, що тільки члени їхнього персоналу зі спеціально визначеними технічними повноваженнями мають доступ до баз даних з технічних причин, а ці члени персоналу обізнані про вразливий характер даних і роботу згідно із суворими внутрішніми правилами конфіденційності;

– передача даних повинна не тільки мати місце без невчасної затримки, але і без відкриття інакших даних трафіка і місцезнаходження, аніж тих, які були потрібні для цілей запиту.

85. Щодо Статті 9:

– доповнення положенням, яке зобов’язує постачальника зберігати журнали і виконувати систематичні (само)ревізії, для того, щоб надати можливість національним органам із захисту даних контролювати застосуванням норм про захист даних на практиці.

86. Щодо Статті 10:

– висвітлення залежності між адекватністю заходів безпеки і витрат слід прояснити у тексті положення;

– доповнення мінімальних стандартів для заходів безпеки, які вжиті постачальниками, для того, щоб набути право на компенсацію від держави-члена;

– висвітлити фінансові наслідки Проекту в Пояснювальному меморандумі.

87. Щодо Статті 11:

– поправка до Статті 15 (1) Директиви 2002/58/EC, про видалення посилання на Стаття 6 і Статтю 9 (цієї ж Директиви), або, як мінімум, їхня модифікація для того, щоб прояснити, що держави-члени не мають більше повноважень приймати законодавство відносно злочинів, доповнюючи цей Проект.

88. Щодо Статті 12, поправки до положення про оцінювання:

– слід охопити оцінку ефективності виконання директиви

– слід проводити на регулярній підставі (як мінімум кожні 2 роки)

– Комісію слід зобов’язати представити зміни до Проекту там, де необхідно (як в Статті 18 Директиви 2002/58/EC).

Вчинено у Брюсселі 26 вересня 2005 року

Пітер Гастінкс (Peter Hustinx)

Європейський Комісар Захисту Даних

[1] OJ L 281, 23.11.1995, p. 31.

[2] OJ L 201, 31.7.2002, p. 37.

[3] OJ L 8, 21.1.2001, p. 1.

[4] Judgment of the ECHR of 16 February 2000, Amann, 2000-II, Appl. 27798/95.

[5] Judgment of the ECHR of 2 August 1984, Malone, A82, Appl. 8691/79.

[6] Judgment of the ECHR of 22 October 1981, Dudgeon, A45, Appl. 7525.

[7] Див. також пункт 3 цієї Думки.

[8] Liberty and security, striking the right balance. Paper by the UK Presidency of the European Union of 7 September 2005.

[9] Див. в такому ж сенсі: «The Position Paper on Law Enforcement and Information Exchange in the EU», прийнятий на Весняній конференції Європейських органів захисту даних, Краків, 25 –26 квітня 2005 р.

[10] Див. в такому ж сенсі: «The Opinion of the EDPS of 23 March 2005 on the Proposal for a Regulation of the European Parliament and of the Council concerning the Visa Information System (VIS) and the exchange of data between Member States on short stay-visas» (Paragraph 3.12).

[11] Див. в такому ж сенсі: «The Opinion of the EDPS of 23 March 2005 on the Proposal for a Regulation of the European Parliament and of the Council concerning the Visa Information System (VIS) and the exchange of data between Member States on short stay-visas» (Paragraph 3.9).

[12] Комісія посилається на цифри ETNO (асоціація операторів телекомунікації ЄС) і на звіт MEP Alvaro щодо проекту Рамкового Рішення.

Переклад з англійської Руслана Тополевського

 Поділитися